METODI PER LA QUANTIFICAZIONE DEL RISCHIO: Sicurezza Funzionale



Documenti analoghi
METODI PER LA QUANTIFICAZIONE DEL RISCHIO: Alberi di Evento e Alberi di Guasto

Fieldbus Foundation e la sicurezza

ATEX ed Ambienti Confinanti DCS Safety System Sistemi di Sicurezza e Controllo in ambienti a rischio esplosione

L ANALISI DEL RISCHIO

ANALISI DI RISCHIO SEMIQUANTITATIVA IN SUPPORTO ALLE VALUTAZIONI IN PRESENZA DI ATMOSFERE ESPLOSIVE (ATEX)

CENNI DI METODI STATISTICI

Safety Speed Monitoring. Considerazioni sui sensori in applicazioni per il controllo della velocità di sicurezza

BOLOGNA, OTTOBRE 2007

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Corso di Progettazione di Impianti e della Sicurezza Industriale: Fault Tree Analysis (FTA) I/E e Safety Instrumented System (SIS)

La valutazione dei rischi. La valutazione dei rischi -- Programma LEONARDO

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Il concetto di valore medio in generale

POLITECNICO DI TORINO

CONCETTI E DEFINIZIONI

Salute e sicurezza nei luoghi di lavoro D.Lgs. 81/2008

La sicurezza sul lavoro. Concetti di base e accenni alla normativa vigente

Lezione 1. Obiettivi prestazionali e normativa vigente. Laboratorio progettuale (Tecnica delle Costruzioni)

Introduzione alla norma IEC e al concetto di Safety Integrity Level (SIL)

VALORE DELLE MERCI SEQUESTRATE

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

Progetto MICS Abilitazioni Macchine Giornata Nazionale di Formazione Formatori in collaborazione con ANIMA/UCoMESA-AISEM Milano 22 Marzo 2012

LA REVISIONE LEGALE DEI CONTI La comprensione

GESTIONE DEL RISCHIO NEI DISPOSITIVI MEDICI: DALLA CLASSIFICAZIONE ALLA COMMERCIALIZZAZIONE

MANUALE DELLA QUALITÀ Pag. 1 di 6

Automazione Industriale (scheduling+mms) scheduling+mms.

Machines :Nuova legge in Europa. :Nuove norme. Quasi-macchine. MTTFd. Documenti DC SIL PL. B10d CCF

Sicurezza Funzionale Industria di Processo

7.2 Controlli e prove

CONTROLLO IN TENSIONE DI LED

La valutazione del rischio chimico

PERICOLO o FATTORE DI RISCHIO

Il Processo di Valutazione dei Rischi nel Contesto Organizzativo delineato dal D.lgs.n 81/08 e smi

Database. Si ringrazia Marco Bertini per le slides

11. Evoluzione del Software

Severità' e Frequenze dei Guasti d'impianto. Fig. 4 Rappresentazione grafica della Procedura FMECA

La valutazione dei rischi sulle macchine ai fini della direttiva 2006/42/CE

Strumenti e metodi per la redazione della carta del pericolo da fenomeni torrentizi

LA REVISIONE LEGALE DEI CONTI

Corso di Laurea Magistrale in Chimica e Tecnologia Farmaceutiche E25

Area Marketing. Approfondimento

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

12. Evoluzione del Software

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

BS OHSAS 18001: Occupational. Health. Safety. Assesments. Series

PROVINCIA DI VENEZIA - MONITORAGGIO TRAFFICO

Le tecniche di ridondanza

Generazione Automatica di Asserzioni da Modelli di Specifica

CAPACITÀ DI PROCESSO (PROCESS CAPABILITY)

MAPPE DI KARNAUGH. Nei capitoli precedenti si è visto che è possibile associare un circuito elettronico o elettrico ad una funzione logica.

Nota interpretativa. La definizione delle imprese di dimensione minori ai fini dell applicazione dei principi di revisione internazionali

Decreto Legislativo 09 Aprile 2008, n.81

Interruttore automatico

Sicurezza Funzionale Macchinari

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Orientamenti sul sottomodulo del rischio di catastrofe per l assicurazione malattia

REGOLAMENTO PER L ORGANIZZAZIONE E LA GESTIONE DELLE EMERGENZE ALL INTERNO DEGLI EDIFICI DELL UNIVERSITA

IL SOFTWARE SECONDO LA NORMA UNI EN ISO :2008 (IIA PARTE) 1

IL SISTEMA DI CONTROLLO INTERNO

I motori di ricerca. Che cosa sono. Stefania Marrara Corso di Sistemi Informativi

Procedure di lavoro in ambienti confinati Livello specialistico

SOLO I CARRELLI TOYOTA CON SAS SANNO COME

Sicurezza e sicurezza funzionale. Guida generale

LA VALUTAZIONE DEL RISCHIO

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

Gli attributi di STUDENTE saranno: Matricola (chiave primaria), Cognome, Nome.

Decreto Interministeriale del Attuazione di quanto previsto dall art. 29 comma 5 del D.L.vo 81/08

Appunti su Risk management

risulta (x) = 1 se x < 0.

PIANO DI MIGLIORAMENTO

Argomenti Trattati. Sistemi di protezione dei lavoratori e dei visitatori. Sistemi di protezione presso gli acceleratori dei LNL.

Elementi di Pianificazione di Emergenza comunale: l'identificazione degli scenari di rischio

Nota integrativa nel bilancio abbreviato

Valutazione dei rischi

Gestione della Sicurezza Informatica

I GRUPPI TRANSFRONTALIERI.

Analisi dei margini: componenti e rischi

Metodi e Modelli Matematici di Probabilità per la Gestione

Valutazione dei Rischi. Normativa e documenti di riferimento. Definizioni (UNI EN ISO 12100)

IL SISTEMA INFORMATIVO

03. Il Modello Gestionale per Processi

Project Cycle Management

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Prevenzione e protezione incendi nelle attività industriali

ManPro.Net: Principali caratteristiche del prodotto.

TECNICHE DI SIMULAZIONE

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

LINEE GUIDA PER L EROGAZIONE DELLA FORMAZIONE INTERNA

Il ruolo del fornitore di macchine nella manutenzione preventiva e calibrazioni. Dott. Marco Bellentani

LE CARTE DI CONTROLLO (4)

Concetto di sicurezza, arrivando diritti all obiettivo. con Safety Evaluation Tool Safety Integrated. Safety Integrated. Answers for industry.

Liceo Scientifico Statale N. Copernico Viale Borgovalsugana n Prato-tel fax

Circolare N.62 del 10 Aprile 2013

La gestione del Rischio Clinico in Valle d Aosta: consolidamento del metodo FMEA

Corso di formazione Modulo aggiuntivo per Preposti

Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

Reti sequenziali sincrone

COMUNE DI VILLESSE PROVINCIA DI GORIZIA REGOLAMENTO PER LA VALUTAZIONE DELLE POSIZIONI ORGANIZZATIVE

Transcript:

Corso di Laurea in Ingegneria Aerospaziale METODI PER LA QUANTIFICAZIONE DEL RISCHIO: Docente: Page 1

Definizione di Safety Integrity Level (SIL) I SIL sono delle espressioni dei livelli di sicurezza di un dato processo. In particolare offrono una possibile visone della misura ed aspettative di funzionamento attese da parte di sistemi chiamati ad operare in condizioni di non-conformità od emergenza operativa. Risk Based Safety Analysis (RBSA) Page 2

Risk Based Safety Analysis (RBSA) 1. Con desiderato livello di sicurezza come punto di partenza, a. un livello massimo di rischio accettabile è stabilito b. specificando la quantità di fallimenti che possono essere tollerati. 2. Il processo può quindi essere sezionato nei suoi componenti funzionali, a. ciascuno dei quali è valutato per la gestione del rischio. 3. Mediante la combinazione di questi livelli di rischio, un confronto del rischio globale può essere fatto con il livello rischio accettabile prestabilito. a. Quando il rischio effettivo supera il massimo valore accettabile, un ottimizzazione del sistema o processo si rende necessaria. Page 3

1. I processi possono essere ottimizzati in funzione del rischio, scegliendo dei componenti previsti per l'uso entro un certo valore di SIL. a. Ad esempio, se il valore di SIL per il processo in esame è atteso molto alto (cioè alto valore del livello di integrità dei sistemi di sicurezza coinvolti), tramite la scelta di certi componenti di alta qualità ed affidabilità, questo obiettivo può essere raggiunto. b. E' importante notare tuttavia che unire in un processo semplicemente componenti di certi livelli di qualità non garantisce che il processo assuma necessariamente il valore di SIL atteso. 2. Il valore di SIL del processo deve essere determinato attraverso un apposito metodo di indagine sul rischio. Page 4

Metodi per la valutazione dei SIL 1. Analisi semplificate, 2. Analisi per mezzo di Grafi di Rischio ( Risk Graphs ), 3. Analisi mediante Alberi di Guasto, 4. Metodi semi-quantitativi e matrici di rischio, 5. Analisi di Markov, ecc. La norma IEC 61508 definisce quattro livelli di Safety Integrity Level (da SIL1 a SIL4), a ciascuno dei quali è associata una misura quantitativa crescente della necessaria riduzione del rischio e quindi il grado di integrità che il sistema di sicurezza deve raggiungere per poter garantire tale riduzione. È di carattere generale, applicabile a tutti i sistemi correlati alla sicurezza, indipendentemente dall applicazione (trasporti, produzione, ). Page 5

SIL e Affidabilità All Affidabilità di un sistema contribuiscono due tipoi di considerazioni: 1. disponibilità di un componente ("availability") a. MTBF, MTTR e PFD. 2. considerazioni relative all architettura del sistema in esame a. Two out-of two, 2oo3, o Triple Modular Redunndant, TMR 3. misura statistica del componente di fallire in un modo sicuro SIL Page 6

Page 7

Valutazione dei SIL Analisi semplificate, Analisi per mezzo di Grafi di Rischio ( Risk Graphs ), Analisi mediante Alberi di Guasto, Metodi semi-quantitativi e matrici di rischio, Analisi di Markov, ecc. a. In generale, più la tecnica è sofisticata e più è raffinato il calcolo del SIL. b. Pertanto, più la tecnica è semplifica e più conservativo deve essere in valore di SIL derivato. c. Ad esempio, la tecnica dei Grafi di Rischio è più conservatrice e meno complessa dell Analisi Markov. Viceversa, l approccio di Analisi Markov è più esatto e molto più complesso. d. Gli Alberi di Guasto cadono nel mezzo. Page 8

Analisi semplificate, Nel caso di calcoli semplificati, il passo successivo è la somma dei PFD per ogni componente del processo. Il valore ottenuto può quindi essere paragonato con i dati di Tabella SIL vs. Failure on Demand e/o SIL vs failure per unità di tempo, per avere il SIL globale del processo. Analisi mediante Alberi di Guasto il prossimo passo produrre un FT. I componenti sono collegati tra di loro nell albero di guasto attraverso la logica booleana. Una volta che questo è fatto, il PFD per ogni percorso dell albero è determinato in base alla logica delle relazioni. I vari PFD sono combinati tra loro per produrre il PFD ave ecc. Analisi di Markov un diagramma stato è prodotto per il processo... Metodo analitico per arrivare al valore di PFD ave ecc. Page 9

Grafi di Rischio I Grafi di rischio sono un metodo proposto nella IEC 61508 (parte 5). Il metodo valuta qualitativamente, attraverso 4 parametri di rischio rappresentati graficamente, il rischio derivante in assenza o nonoperatività di una particolare funzione e determina il SIL relativo. Page 10

Severità delle Conseguenze (S) 1. Danni o ferite minori ( minor injury ) 2. Uno o più lesioni gravi e irreversibili, o di una fatalità 3. Diversi morti 4. Effetti catastrofici, molti morti (livello non utilizzato nel settore dei trasporti, di norma solo per il nucleare). Esposizione a pericolo (A) 1. Rara o infrequente esposizione a pericolo 2. Frequente o costante esposizione a pericolo Difese contro le conseguenze (G) 1. Possibile 2. Appena possibile Probabilità di verificarsi situazioni di pericolo (W) 1. Molto basso (due ostacoli/barriere) 2. Basso (un ostacolo/barriera) 3. Relativamente alto (senza ulteriore barriera) Page 11

Questi quattro parametri combinati compongono il rischio dal guasto di una particolare funzione di protezione/sicurezza: Rischio = Frequenza di eventi Gravità = W A S G S: Severità Le categorie di severità in questo tipo di grafi di rischio sono enumerate da uno a quattro, ma questi livelli non corrispondono, con quelli delle matrici di rischio di altre norme. I livelli dei grafi di rischio citati nella IEC-61508 contengono anche la classe di gravità S4, che normalmente afferisce alle grandi catastrofi tipicamente eventi di fusione del nocciolo nucleare. Quindi, si può ritenere che nel dominio aeronautico, S2 e S3 corrispondono a livelli "Critico" e "Catastrofico" della matrice di rischio. Page 12

A: Esposizione L'esposizione di un passeggero ad un certo pericolo è solo divisa in due classi. L analisi di un fattore di pericolo inizia con il chiedersi se i passeggeri sono più o meno direttamente esposti, che è per lo più il caso quando si va ad alti livelli di pericolo. Solo alcuni processi (ad esempio, un processo di manutenzione straordinaria ad un motore in avaria, effettuata in pista con passeggeri a bordo) non incidono direttamente passeggeri. Esposizione a pericolo (A) A1: Rara o infrequente esposizione a pericolo A2: Frequente o costante esposizione a pericolo Page 13

G: Difese e protezioni dalle conseguenze Questo parametro dà una misura dei fattori di riduzione delle conseguenze associate al verificarsi di una catena di eventi di pericolo. In tale senso, rappresenta una misura delle barriere esterne esistenti e presenti nel sistema per limitare o contenere i danni (ultimo stadio di sicurezza sistemica), derivanti da diversi tipi di possibili catene incidentali. Questo tipo di parametro misura la riduzione possibile delle conseguenze e non la riduzione della probabilità di occorrenza. La riduzione dei danni può essere per esempio la riduzione della velocità quando un veicolo è in corso di collisione con un ostacolo. Difese (G) G1: Possibile G2: Appena Possibile Page 14

W: Probabilità di verificarsi dei pericoli Questo parametro misura la presenza di ostacoli o barriere che limitano la probabilità di occorrenza di un evento di pericolo nel quadro di evoluzione di una dinamica incidentale. Pertanto, questo parametro dà una valutazione delle barriere interne alla catena incidentale. 1. Viene assegnato un valore W3 al parametro ogni volta che si verifica un pericolo che non può essere controllato anche da un altro ostacolo/barriera supplementare (oltre alla funzione di tutela che è oggetto di analisi). 2. Se invece un altro ostacolo o barriera può prevenire l evolvere del pericolo in un incidente, la probabilità W2 può essere assunta. 3. Se esistono due o ulteriori barriere tali da limitare l'incidente, il parametro W1 può essere utilizzato Page 15

Esempio di Grafo di Rischio Funzione: Rilevamento di Sovra-velocità Descrizione sintetica della Funzione: La velocità è rilevata a bordo dai sottosistemi basati sui sensori S1 ed S2 e dal Tachimetro. Se la velocità rilevata supera i limiti di velocità, la funzione rileva tale sovra-velocità ed avvia il processo di reazione. Modi di funzionamento: Obbligatorio: Attività sensore S1 in Fail safe : se S1 è guasto il segnale di allarme o sovra-velocità è attivato. Opzionale: Attività sensore S2 in Fail safe e rilevatore automatico max velocità sul Tachimetro; Possibile guasto: Supervelocità non rilevata porta a velocità troppo elevata rispetto al valore accettabile in curva Pericoli associati: In caso di mancato rilevamento di velocità eccessiva, i veicoli possono avvicinarsi troppo ovvero si potrebbe operare in condizioni di velocità eccessive per il tratto di strada in oggetto Page 16

Possibili conseguenze / Incidenti / Severità: La mancanza di rilevamento velocità troppo elevata può portare a delle collisioni o uscite di strada/deragliamenti con possibili morti e distruzione dei veicoli => S3 Esposizione: I passeggeri a bordo e possibili esseri umani al di fuori dei veicoli esposti perennemente a tale pericolo => A2. Possibili barriere di sicurezza: In caso di sovra-velocità inosservata, nessun ulteriore barriera (driver ecc) può conservativamente essere assunta per ridurre le conseguenze => W3 Possibile riduzione conseguenza: Non applicabile Pertanto il Grafo di Rischio associato a tali considerazioni risulta in un valore di integrità della funzione di sicurezza Rilevamento di Sovravelocità pari a : SIL = 4 Page 17

Esempio di Grafo di Rischio Page 18

Metodo semi-quantitativo e matrice di rischio POLITECNICO DI MILANO Il metodo utilizza come base la matrice di rischio che comprende solo due misure di rischio: frequenza di incontro del pericolo e gravità delle conseguenze Rischio = Frequenza (del pericolo) Severità (delle conseguenze). Severità SL Frequenza Catastrofico SL=4 Critico SL=3 Marginale SL=2 Trascurabile SL=1 Frequente Inaccettabile Accettabile Probabile Inaccettabile dopo revisione Occasionale Remoto Improbabile Indesiderabile Accettabile dopo revisione Accettabile senza revisione Page 19

Categoria di Severità SLα => SILα = THRα dove SLα identifica la severità assoluta associata al pericolo in esame (SL4 = Catastrofico, SL3 = Critico, SL2 = Marginale, SL1 = Trascurabile), cioè senza nessuna riduzione o aumento dovuto ad altre forme di correzioni ambientali o, sociali e specifiche. Probabilità di Esposizione a pericolo (E) Riduzione della Probabilità di incidente (P) Riduzione delle conseguenze Probabilità (C) (~ A nei grafi di rischio) (~ W nei grafi di rischio) (~ G nei grafi di rischio) Page 20

E = 1 E = 10-1 E = 10-2 L esposizione dei membri del gruppo a rischio è conservativa, ed è assunto frequente o permanente. L esposizione dei membri del gruppo a rischio si può conservativamente presumere come rara, e solo in casi eccezionali (ad esempio i passeggeri in piedi durante fasi iniziali/finali del volo ecc) L esposizione dei membri di un gruppo a rischio è presente solo in rarissima casi (ad esempio, i passeggeri in un aero in hangar, ecc) POLITECNICO DI MILANO P = 1 P = 10-1 P = 10-2 Non si può contare su nessun ulteriore ostacolo per ridurre la probabilità del pericolo nell evoluzione di un incidente. Esistenza di un mezzo o circostanza che chiaramente tendono a ridurre la probabilità che un certo pericolo si evolva in un incidente (ad esempio, il personale di bordo / capace di intervenire in caso di mancato uso di sistemi o presenza di pericoli, quali giaccio sulle ali) Esistono almeno due mezzi o circostanze, per ridurre chiaramente e autonomamente la probabilità che un certo pericolo si evolva in un incidente (ad esempio, una presenza di personale di bordo specificatamente adibito al compito di sorveglianza dell apertura/chiusura delle porte e un sistema di sensori capaci di valutare lo stato di apertura o meno del portellone). C = 1 C = 10-1 C = 10-2 Non vi è motivo di supporre conservativamente che si possa limitare o evitare che membri del gruppo a rischio (ad esempio passeggeri) siano soggetti alle conseguenze di un certo pericolo. Esiste una barriera o misura di protezione per supporre conservativamente che questa possa limitare le conseguenze sui membri del gruppo a rischio (ad esempio passeggeri), limitando, di fatto, il rischio dell occorrenza. Esistono almeno due barriere o misure di sicurezza indipendenti capaci conservativamente di contenere le conseguenze di una certa occorrenza, di fatto riducendone il rischio. Page 21

Categoria di Severità SLe => THRe = THRα /E P C = SILe Supervelocità non rilevata porta a velocità troppo elevata rispetto al valore accettabile in curva Page 22

Caso studio: Foreign Object Damage, FOD Funzione: Rilevamento di oggetto imprevisto in pista di rullaggio Descrizione sintetica della Funzione: Il FOD è rilevata a bordo dai piloti. E altrettanto possibile che vi sia una rilevazione del personal aeroportuale. Modi di funzionamento: Obbligatorio: Controllo visivo da parte dei piloti della pista per presenza di eventuali FOD Opzionale: Supervisione del personale di terra addetto alla manutenzione generale. Possibile guasto: FOD non rilevato. Pericoli associati: In caso di mancato rilevamento e di oggetti di dimensioni di rilievo sono possibili danni molto seri e pericolo di perdita di aeronavigabilità. Page 23

POLITECNICO DI MILANO Possibili conseguenze / Incidenti: La mancanza di rilevamento del FOD e i danni sull aeromobile potrebbero causare un incidente con molte morti tra i passeggeri ed equipaggio => o Grafo di Rischio: Severità delle Conseguenze: S3 o Metodo semi-quantitativo: Livello di Severità SL α = 4 Esposizione: I passeggeri a bordo e possibili esseri umani al di fuori dei veicoli esposti perennemente a tale pericolo => o o Grafo di Rischio: Frequente o costante esposizione a pericolo: A2 Metodo semi-quantitativo: Esposizione dei membri del gruppo a rischio è assunto frequente o permanente: E = 1 Possibili barriere di sicurezza: In caso di FOD di una certa rilevanza, è probabile che questi vengano identificati dal personale di terra e pertanto esiste una barriera aggiuntiva. Si può conservativamente assumere => o o Grafo di Rischio: Probabilità bassa di verificarsi situazioni di pericolo: W2 Metodo semi-quantitativo: Esistono circostanze che chiaramente tendono a ridurre la probabilità che il pericolo di grande FOD non rilevato evolva in un incidente: P = 10-1 Possibile riduzione conseguenza: I passeggeri non possono evitare le conseguenze => C = 1 Page 24

SIL Grafo di Rischio Foreign Object Det ection S Damage/Severity S3 A Typical Exposition to A2 Hazard G Risk Reduction Potential W Probability of Accident W2 Safety Integrity Level (SIL) SIL 3 S 1 S 2 S 3 A 1 A 2 A 1 G 1 G 2 G 1 G 2 W 3 W 2 W 1 SIL 0 SIL 1 SIL 2 SIL 3 SIL 0 SIL 1 SIL 2 SIL 3 SIL 0 SIL 1 SIL 2 S 4 A 2 SIL 4 SIL 4 SIL 3 SIL Metodo semi quantitativo Foreign Object Detection SL Damage/Severity SL4 E Exposition Probability 1 P Accident Probability 0,1 C Consequence Reduction 1 THR4/0,1 THR3 Safety Integrity Level (SIL) - Tolerable Hazard Rate SIL THR per ora e per funzione THR4: 10 < THR < 10 SIL4 THR3: 10-8 < THR < 10-7 SIL3 THR2: 10-7 < THR < 10-6 SIL2 THR1: 10-6 < THR < 10-5 SIL1 Page 25

Grazie per la Vostra attenzione Page 26